Журналювання Windows та Sysmon

Рекомендації щодо журналювання Windows

Щоб належно виявляти зловмисну активність на машинах Windows, вам потрібно покращити стандартні налаштування журналювання. Ми створили окремий проєкт, щоб задокументувати, які налаштування журналювання потрібно увімкнути, а також скрипти для автоматичного увімкнення належних налаштувань за адресою https://github.com/Yamato-Security/EnableWindowsLogSettings.

Ми також рекомендуємо наступні сайти для отримання вказівок:

• JSCU-NL (Joint Sigint Cyber Unit Netherlands) Logging Essentials
• ACSC (Australian Cyber Security Centre) Logging and Fowarding Guide
• Malware Archaeology Cheat Sheets

Проєкти, пов'язані з Sysmon

Щоб створити якнайбільше криміналістичних доказів і виявляти з найвищою точністю, вам потрібно встановити sysmon. Ми рекомендуємо наступні сайти та конфігураційні файли:

• TrustedSec Sysmon Community Guide
• Sysmon Modular
• SwiftOnSecurity Sysmon Config
• SwiftOnSecurity Sysmon Config fork by Neo23x0
• SwiftOnSecurity Sysmon Config fork by ion-storm